Auditoria Informatica

AUDITORIA INFORMATICA OLVA COURIER
UNIVERSIDAD NACIONAL DE MOQUEGUA
INTEGRANTES: ISABEL VILCA QUISPE JOSE LUIS CALLACONDO SHIRLEY MAMANI RODRIGUEZ DOCENTE: ALEX ZUIGA INCALLA
PC UNIVERSIDAD NACIONAL DE MOQUEGUA
INDICE
Dedicatoria............................................................................................................................... 2 SOLICITUD DE AUDITORA INTERNA A LA EMPRESA OLVA CORIER.............................................. 3 PLANEACION DE LA AUDITORIA INFORMATICA.......................................................................... 6 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 1.7. ORIGEN DE LA AUDITORIA: ................................................................................................ 7 OBJETIVO GENERAL ............................................................................................................ 7 OBJETIVOS ESPECIFICOS ..................................................................................................... 7 ANTECEDENTES ................................................................................................................... 7 ENFOQUE A UTILIZAR ....................................................................................................... 10 PERSONAL A CARGO DE AUDITAR ................................................................................... 10 CRONOGRAMA DE TRABAJO ............................................................................................ 11
Diagrama de actividades ................................................................................................. 13 Auditoria del hardware ................................................................................................... 14 1.8. 1.9. 1.10. 1.11. DOCUMENTOS A SOLICITAR ............................................................................................. 15 AUTORIDADES DE LA EMPRESA OLVA CORIER ................................................................ 15 PRINCIPALES ACTIVIDADES: .................................................................................. 15 RECURSOS PARA LA AUDITORIA ........................................................................... 16
Humanos: ........................................................................................................................... 16 Materiales: ......................................................................................................................... 17 Tecnolgicos. ...................................................................................................................... 17 1.12. 1.13. METODOLOGIA ............................................................................................................. 17 ANALISIS FODA ............................................................................................................. 19

1
Dedicatoria Por este medio agradecemos a OLVA COURIER por permitir realizar nuestro trabajo dentro de sus instalaciones, as permitirnos obtener experiencia como auditores en informtica. Apreciamos la confianza que nos brindaron, brindando todo lo que necesitbamos para la elaboracin del documento, tiempo, informacin, etc.

2
SOLICITUD DE AUDITORA INTERNA A LA EMPRESA OLVA CORIER
En Ilo, a 2 de Diciembre de 2013. Yo, Jos Luis Callacondo, mayor de edad, con DNI 47014048, en condicin de alumno de la Universidad Nacional de Moquegua de la carrera profesional ingeniera de sistemas e informtica del VIII ciclo. EXPONE: 1) Que segn la Norma ISO (Organizacin Internacional de Normalizacin) 9001:2008, de Gestin y Aseguramiento de la Calidad, el centro se encuentra en fase de implantacin del Sistema General de Calidad. 2) Que de acuerdo en lo establecido en la Normas del rea de Informtica, sobre Seguimiento y medicin, es preceptivo la realizacin de la Auditora Interna. Es por ello que a la Empresa OLVA CORIER SOLICITA: Que para la realizacin de dicha Auditora del ao 2013 se enve a los pertinentes Auditores Internos de la empresa.
Que la realizacin de la Auditora Interna en el centro al que representa se realice en el mes de Diciembre y preferentemente en el da de la semana 16 al 28 .
Que no se realice la Auditora Interna en su centro los das Sbados ni Domingos

3
Asimismo, el centro asume el compromiso de cumplir con las pautas que se le indiquen y a la colaboracin con el Auditor para la realizacin de sus funciones. Para que as conste, se solicita en forma y plazo 1 de Diciembre de 2013
---------------------------------ATT. Jos Luis Callacondo PRESIDENTE DE AUDITORIA INFORMTICA
---------------------------------ATT. Isabel Vilca Quispe AUDITORA INFORMATICA
---------------------------------ATT. Shirley Mamani Rodriguez AUDITORA INFORMATICA

4
INTRODUCCIN
En la Actualidad los Sistemas Informticos constituyen una herramienta poderosa para la mejora de rendimiento de toda organizacin empresarial.
bastante
Del mismo modo, no solo se trata de adquirir tecnologa, sino que tambin es necesario saber darle el uso adecuado de acuerdo a los Requerimientos particulares de un determinado usuario o grupos usuarios. La Auditora Informtica, es un punto clave en este sentido, debido a que, si bien es cierto, ayuda a detectar errores y sealar fallas en determinadas reas o procesos, su objetivo est orientado a brindar soluciones, planteando mtodos y
procedimientos de control de los sistemas de informacin que son validos para cualquier empresa u organizacin por pequea que esta sea. El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de informacin. Cabe resaltar que para la realizacin de una auditoria informtica eficaz, es necesario entender a la empresa en su ms amplio sentido, El presente informe, realizado por la empresa JC auditores, plantea un estudio profesional del los diversos factores que pueden estar influyendo en las operaciones de la empresa auditada OLVA COURIER a fin de brindar las soluciones y recomendaciones pertinentes.

5
PLANEACION DE LA AUDITORIA INFORMATICA

6

AUDITORIA INFORMATICA AUDITORIA INFORMATICA A LA EMPRESA OLVA CORIER S.A.
1.1.
ORIGEN DE LA AUDITORIA: La presente Auditoria se realiza en el cumplimiento de las normas de seguridad en dicha rea de acuerdo al estndar ISO 9000
1.2.
OBJETIVO GENERAL Supervisar el rea de informtica de la empresa , de igual manera revisar su utilizacin, eficiencia y seguridad para su previa participacin en el procesamiento de la informacin, para que logre una utilizacin mas eficiente y segura informacin que servir para una adecuada toma de decisiones.
1.3.
OBJETIVOS ESPECIFICOS Evaluar el diseo de los equipos de computo del rea de informtica Determinar la veracidad de la informacin del rea de Informtica A analizar su estandarizacin y evaluar el cumplimiento de los mismos. Evaluar la forma como se administran los dispositivos de almacenamiento bsico del rea de Informtica Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs. Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del rea de cmputo.
1.4.
ANTECEDENTES El 23 de marzo de 1987, dos jvenes empresarios decidieron fundar Olva & Asociados S.R.L., empresa de correo privado dirigida a especializarse exclusivamente al correo nacional. Hoy, nos hemos convertido en el courier ms grande del Per: OLVA COURIER.

7

Gracias al buen servicio, la conformidad y los mejores tiempos de entrega, servicios complementarios a nivel nacional, y la confianza que se gener entre nuestros clientes, es que entre los aos 1990 y 1991, logramos una importante cartera de ms de 600 clientes corporativos, pertenecientes a diversos sectores de negocio. Ya para 1996 nos habamos convertido en una organizacin con 68 oficinas en todo el Per, dedicadas al servicio de entregas, todas adecuadamente equipadas y con la debida infraestructura. Al nuevo milenio, ingresamos como una empresa slida que cuenta con un almacn central de 3.300 m2, 14 locales de atencin al pblico ubicados en distritos estratgicos de Lima, 270 oficinas en provincias y ms de 200 unidades mviles que recorren todo el pas. En el 2011, continuando con nuestro espritu de crecimiento, en OLVA COURIER iniciamos una nueva etapa al lanzar nuevas unidades de negocio: Olva Carga, Olva Export-Import, Olva TI; y una nueva lnea de servicio de gestiones con cobertura nacional: verificaciones, cobranzas, trmites, firma de contratos, outsoursing, control de colas y auditora de envos masivos. Tras 25 aos de experiencia, repotenciamos la marca y renovamos el logotipo e identidad corporativa. Nuestra red de oficinas se consolida siendo la nica que permite brindar servicios de Lima a provincias, de provincias a Lima, entre provincias y locales, soportando una cartera de clientes corporativos superior a las 1,000 empresas y ms de 2 millones de personas naturales, convirtiendo a OLVA COURIER en la empresa lder en el servicio courier en el pas.

8

9

1.5. ENFOQUE A UTILIZAR La presente accin de control, se realiza de acuerdo con el organismo central y rector de los Sistemas Nacionales de Estadstica e Informtica, responsable de normar, supervisar y evaluar los mtodos, procedimientos y tcnicas estadsticas e informticas utilizados por los rganos del Sistema INEI (Instituto Nacional de Estadstica e Informtica), Normas Internacionales de Auditoria (NIA); habindose aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo a las circunstancias. Esta accin se realizara de acuerdo al objetivo de la auditoria informtica tomando en cuenta que cada uno de los integrantes del equipo participaremos como responsables cumpliendo ciertas condiciones las cuales son supervisar y evaluar los procedimientos y tcnicas informticas utilizadas en esta institucin. Habiendo as aplicado los procedimientos de auditoria que se consideren necesarios de acuerdo a las circunstancias. La presente Auditoria Informtica se realizara en la empresa OLVA CORIER, ubicada en el Distrito de Ilo, Departamento de Moquegua, siendo el rea a examinarse la de Informtica. 1.6. PERSONAL A CARGO DE AUDITAR
ORGANIZACIN QUE LLEVA LA AUDITORIA
JEFE AUDITOR: JOSE LUIS CALLACONDO
AUDITOR: ISABEL VILCA QUISPE
AUDITOR: SHIRLEY MAMANI ROGRIGUEZ

10

1.7. CRONOGRAMA DE TRABAJO
PROGRAMA DE AUDITORIA Empresa: Olva Courier S.A. FASE ACTIVIDAD HORAS ESTIMADAS 1 Planificar 1.Solicitud de manuales y Documentacin 2.Elaboracion de Cuestionarios 3.Recopilacion de la Informacin 4.Pistas de auditoria 5.Obtencion para evidencia de auditoria 6.Reconocimiento de factores internos de la entidad a auditar 16-19 de diciembre -Ing. Isabel Vilca Quispe - Ing. Jos Luis Callacondo - Ing. Shirley Mamani Rodrguez ENCARGADOS
Ejecutar 1.Aplicaciones del cuestionario al Personal 2.Analisis de las claves de acceso y control seguridad, confiabilidad y respaldos 3.Evaluacion de los sistemas; relevamiento de hardware y software, evaluacin del diseo lgico y del desarrollo del sistema 4. Evaluacin de la estructura orgnica de la empresa. 5. Evaluacin del rea informtica y su flujo de trabajo. 6. Evaluacin de las normas de seguridad en dicha entidad sobre posibles riesgos. 7.Evaluacin del proceso de datos y de los equipos de cmputo: seguridad de los datos, control de operacin seguridad fsica y procedimientos de respaldos
20-27 de diciembre
-Ing. Isabel Vilca Quispe - Ing. Jos Luis Callacondo - Ing. Shirley Mamani Rodrguez

11
verificar 1.Revision de papeles de trabajo y solicitud de requerimientos 2.Determinacion Implicaciones 3.Elaboracion de carta de Gerencia 4.Elaboracion de Borrador(Informe de diagnstico
27 diciembre
-Ing. Isabel Vilca Quispe - Ing. Jos Luis Callacondo - Ing. Shirley Mamani Rodrguez
Preliminar / Memorando) 4 Actuar 1.Elaboracion y presentacin del Informe 2.Seguimiento 28diciembre -Ing. Isabel Vilca Quispe - Ing. Jos Luis Callacondo - Ing. Shirley Mamani Rodrguez

12
Diagrama de actividades

13
Auditoria del hardware

14
1.8. 1.9.
DOCUMENTOS A SOLICITAR Polticas, estndares, normas y procedimientos. Plan de sistemas. Planes de seguridad y continuidad Contratos, plizas de seguros. Organigrama y manual de funciones. Manuales de sistemas. Registros Entrevistas Archivos Requerimientos de Usuarios
AUTORIDADES DE LA EMPRESA OLVA CORIER DIRECTOR DIRECTOR ADMINISTRATIVO DIRECTOR GERENTE VASQUEZ LOPEZ GUSTAVO VASQUEZ VELA ROSA MERCEDES VASQUEZ VELA ANDERSON
1.10. PRINCIPALES ACTIVIDADES: Olva Courier ofrece los siguientes servicios: 1) Soluciones courier: - Recojo y entrega a domicilio. - Retorno de cargos adjuntos y guas de remisin. - Embalaje sin costo y embalaje especial. - Reporte UNIVERSIDAD NACIONAL DE MOQUEGUA
15

de entregas diarias, semanales o mensuales. - Sistema de comunicacin en tiempo real entre todas las oficinas. 2) Soluciones logsticas: - Servicio de carga. - Compras urgentes. 3) Transferencias de dinero. 4) Outsourcing: * Municipalidad: - Partida de matrimonio. - Partida de nacimiento. Notaras: - Copia de minuta. - Carta notarial. * Licitaciones: - Compra de bases. - Concursos pblicos. - Adjudicaciones directas. * Essalud/Red asistencial: - Cobranzas de cheque. - Recojo de muestras. Recojo de comprobantes de retencin. - Compra de bases. *
* Iglesias: - Partida de confirmacin. - Partida de primera comunin. Partida de bautizo. - Partida de matrimonio. * Ministerio de educacin: - Certificado de estudios. formatos de ttulo. * Colegios: - Certificado de estudios. * SUNARP: -Ttulos de propiedad. - Ttulo vehicular. propiedad. - Duplicado de tarjetas de propiedad - Tarjetas de - Compra de
1.11. RECURSOS PARA LA AUDITORIA Humanos: Auditor principal. Asesores.

16

Materiales: Materiales de escritorio y oficina. Fotocopias. Pendrive (USB). Computadora de escritorio. Cartuchos de tinta.
Tecnolgicos. Paquete Office. Internet Speedy 4MB Telefona Impresora multifuncional. Laptops.
1.12.
METODOLOGIA La metodologa de investigacin a utilizar en el proyecto se presenta a continuacin: Para la evaluacin del rea de Informtica se llevarn a cabo las siguientes actividades: Solicitud de los estndares utilizados y programa de trabajo Aplicacin del cuestionario al personal Anlisis y evaluacin del a informacin Elaboracin del informe Para la evaluacin de los sistemas tanto en operacin como en desarrollo se llevarn a cabo las siguientes actividades: o Solicitud del anlisis y diseo del os sistemas en desarrollo y en operacin

17

o Solicitud de la documentacin de los sistemas en operacin (manuales tcnicos, de operacin del usuario, diseo de archivos y programas) o Recopilacin y anlisis de los procedimientos administrativos de cada sistema (flujo de informacin, formatos, reportes y consultas) o Anlisis de llaves, redundancia, control, seguridad, confidencial y respaldos o Anlisis del avance de los proyectos en desarrollo, prioridades y personal asignado o o Entrevista con los usuarios de los sistemas Evaluacin directa de la informacin obtenida contra las necesidades y equerimientos del usuario o o o Anlisis objetivo de la estructuracin y flujo de los programas Anlisis y evaluacin de la informacin recopilada Elaboracin del informe
Para la evaluacin de los equipos se llevarn a cabo las siguientes actividades: o Solicitud de los estudios de viabilidad y caractersticas de los equipos actuales, proyectos sobre ampliacin de equipo, su actualizacin o o o o Solicitud de contratos de compra y mantenimientos de equipo y sistemas Solicitud de contratos y convenios de respaldo Solicitud de contratos de Seguros Elaboracin de un cuestionario sobre la utilizacin de equipos, memoria, archivos, unidades de entrada/salida, equipos perifricos y su seguridad o Visita tcnica de comprobacin de seguridad fsica y lgica de la instalaciones de la Direccin de Informtica o Evaluacin tcnica del sistema electrnico y ambiental de los equipos y del local utilizado o Evaluacin de la informacin recopilada, obtencin de grficas, porcentaje de utilizacin de los equipos y su justificacin Elaboracin y presentacin del informe final ( conclusiones y recomendaciones)

18

1.13. ANALISIS FODA Fortalezas o Disponibilidad de recursos econmicos. o Personal Directivo y tcnico con experiencia(sistemas computacionales) Oportunidades o Buen servicio y trato. Debilidades o Falta de planes y Programas Informticos. o Escasa capacidad sobre conocimientos en informtica o No existe programas de capacitacin y actualizacin al personal o Personal tcnico Calificado insuficiente en el rea de computo Amenazas o sistemas obsoletos o falta de mantenimiento a los equipos o robo de material de trabajo de esta aula
ANLISIS INTERNO FORTALEZAS Tratamiento personalizado a clientes, orientacin y asesoramiento. Integracin de productos y servicios buscando sinergias entre ellos. Innovacin Constante. Personal debidamente Capacitado y comprometido con la visin de la Organizacin. DEBILIDADES Control de Almacn. Realizar grandes proyectos en el sector privado y pblico. Dependencia de los servicios subcontratados. Sistema de Informacin Integrado (Compras, ventas, Almacn y Krdex).
ANLISIS EXTERNO OPORTUNIDADES AMENAZAS Valoracin positiva de las TIC en la Oferta de productos a Organizacin. precio por parte de competencia. Costos cada vez menores para las Organizaciones para la aplicacin de las La inestabilidad econmica TIC. pobladores de la cuidad de Huaraz. Lealtad de los clientes hacia la Organizacin. Cambios repentinos de Sistemas Informticos. Ubicacin Cntrica del Local. Incremento de la Competencia.
menor la de los
los

19
EJECUCION DE LA AUDITORIA INFORMATICA

20
TIPO DE HADWARE
Modelo
N de Serie
Marca
Capaci dad/Ta mao
1 2
E-HDD E-HDD
MK3200GAH WD5000BEVT
MK3200KHK N82E1682213631 4
Toshiba Western Digital
300GB 80GB
3 4
E-HDD E-HDD
6L080M0 WD10EADS
72N6L080M0
IBM
80GB 160GB
WD10EADS123HK Western Z3 Digital AMD
Desktop/Registro
Clone/AMDTur AMD2VK8000ion M20 Intel Grand i865P E Intel Grand i865P E Intel dg41rq
2.0ghz
Desktop/Estacion 1 Clone/Intel P I V Intel
Intel
3.0Ghz
Desktop/Estacion 2
Clone/Intel P I V Intel
Intel
2.8GHz
Desktop/Server 1
Clone/Intel P IV
Intel
1.8GHz
Rack/Server 2
DellPowerEdge Intel dual core R310
Intel
2.6GHz
10
KVM
KVMDUAL2X7 54
200098X87UHDK
HP
2PCs
11 12 13
LCD LCD LCD
HPL19540 DLAV17YH
LKJNHLCD19KN 009768BJHD
HP DELL DELL
19 17" 17"
KHLN791917KJ 23409087NHYLKJ B HN BB15NJKB NDOUOAD1879
14 15
LCD LCD
HBJ15JJR KHSD15JHK
DELL HP
17" 19"

21

16 17 18 19 20 21 Mouse Laser 1 MouseLaser2 Mouse Laser 3 MouseLaser4 Mouse Laser 5 TECLADOESPAOL 1 22 TECLADOESPAOL 2 23 TECLADOESPAOL 3 24 TECLADOESPAOL 4 25 TECLADOESPAOL 5 27 28 29 30 Regulador Voltaje Regulador Voltaje Modem Router RLV-1579001 RLV-1579001 RLVGFGFU RLVGFGFU Manhattan Manhattan KKKJBGVAGVJ JBFFUJIKMN Micronics KKKJBGVAGVJ KKURREVHGJI Micronics KKKJBGVAGVJ KKJBREVAGVB Micronics KKKJBGVAGVJ JVVUJKMM Micronics KHHKLOGMB KHHKLOGMB KHHKLOGMB KHHKLOGMB KHHKLOGMB KKKJBGVAGVJ JJBJJNLOG JJBJJNLOG JJBJJNLOG JJBJJNLOG JJBJJNLOG KKKJBGVAGVJ Logitech Logitech Logitech Logitech Logitech Micronics
Tipos de hardware

22

Aplicaciones de software N Control 1 2 Open Office 3.3 Office2010 CD case 1 CD Case 1 3 3 Aplicacin Ofimtica Libre Aplicacin Ofimtica Sin licencia 3 Office2007 CD Case 1 3 Aplicacin Ofimtica Sin licencia 4 Microsoft Office XP CD Case2 2 Aplicacin Ofimtica Sin licencia 5 Iwork CD Case 1 2 Aplicacin Ofimtica Sin licencia 6 Neo Office CD Case 2 2 Aplicacin Ofimtica Sin licencia 7 Microsoft Office MAC 2008 8 AVG Anti-Virus CD Case 3 2 CD Case2 2 Aplicacin Ofimtica Sin licencia Aplicacin de seguridad FreeWare 9 NOD32 CD Case 3 2 2Aplicacin de seguridad Sin Licencia 10 Avast Antivirus CD Case 3 2 Aplicacin de seguridad Free Ware 11 Kaspersky Anti-Virus CD Case 3 2 Aplicacin de seguridad Sin Licencia 12 Avira AntiVir CD Case 3 2 Aplicacin de seguridad FreeWare 13 14 Adobe CS5 FullSuite Adobe CS4 FullSuite CD Case 3 CD Case 3 1 1 Aplicacin Diseo Sin licencia Aplicacin Diseo Sin licencia Aplicaciones Ubicacin Cantidad Descripcin

23

15 16 Adobe CS3 FullSuite SD Fix malware CD Case 3 CD Case 3 2 3 Aplicacin Diseo Sin licencia Aplicacion antimalware Freeware 17 Flash Disinfector CD Case 3 3 Aplicacin anti malwareFreeware 18 Malware bytes CD Case 3 2 aplicacin antimalwareFreeware 19 Windows Seven CD Case 3 5 aplicacin sin licencia
20
Mac OS X
CD Case 3
aplicacin sin licencia

24

AUDITORA FSICA ALCANCE Esta auditora fue aplicada en todas las reas que se encuentran en ejecucin (Coordinacin, Administracin, recepcin ) las mismas que operan en la oficina principal (Oficina Administrativa), puesto que en ella se encuentran los equipos de cmputo con los que dispone la empresa, y en donde se evaluar: Organizacin y calificacin del personal de Seguridad. Planes y procedimientos de Seguridad y Proteccin Sistemas tcnicos de Seguridad y Proteccin. Remodelar el ambiente de trabajo.
OBJETIVOS Verificar la ubicacin y seguridad de las instalaciones. Determinar y evaluar la poltica de mantenimiento y distribucin de los equipos. Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente Verificar la seguridad del personal, datos, hardware, software e instalaciones Revisin de polticas y normas sobre seguridad Fsica de los medios, como son: Edifico, Instalaciones, Equipamiento y Telecomunicaciones, Datos y Personas. Verificar si la seleccin de equipos y Sistemas de computacin es adecuada.
DESARROLLO DE LA AUDITORA SEGURIDAD FSICA Ubicacin de la Oficina Central/Oficina administrativa La oficina central se encuentra ubicada Ilo y no tienen previsto un local alternativo para cuando termine el convenio de cesin en uso con la misma. UNIVERSIDAD NACIONAL DE MOQUEGUA
25

En dicho ambiente se llevan a cabo operaciones de Coordinacin, Administracin y servicios. Adems, all se encuentra almacenada toda la documentacin concerniente a la empresa, en grandes folios apilados en estanteras. De igual forma, todos los equipos de cmputo con los que cuenta la empresa, se encuentran en este ambiente. Las ventanas superiores no poseen ninguna estructura metlica (Malla o enrejado) que proteja el acceso a personas no autorizadas y malintencionadas.
Seguridad General De acuerdo a las observaciones realizadas en la oficina informatica, la ubicacin de los equipos de computo no constituyen un inconveniente para los accesos y salidas de la misma, sin embargo, cabe resaltar que el servidor se encuentra en un lugar vulnerable.

26

En lo referente a la seguridad elctrica, los auditores, pudo verificar que cables no estn debidamente colocados, pues estn a la vista de todos de forma desorganizada, adems, en los toma corrientes, existen varios cables sueltos, los cuales constituyen un riesgo y puede ocasionar desastres mayores. Lo mismo ocurre con el cableado de red, para el cual no se ha previsto el uso de canaletas ni de caja toma datos. Los equipos no reciben el mantenimiento debido; lo cual incrementa el riesgo e posible prdida de informacin por averas serias en el equipo. No disponen de un equipo contra incendios y mucho menos cuentan con la capacitacin adecuada para el manejo de estos.

27

Plan de Contingencia De acuerdo con el Inventario de Documentos realizado en la empresa; los Auditores pudo verificar que muchos de los lineamientos del plan de Contingencia que poseen, no han sido ejecutados a la fecha. Control de accesos Puesto que se trata de un ambiente relativamente pequeo, no es imprescindible contar con un sistema para ello; todos los accesos son verificados en la entrada principal de la sede. Seleccin de personal El personal que labora en la empresa cuenta con los conocimientos indispensables para su labor, los cuales han sido seleccionados de una manera adecuada, tanto por concurso as como respectivas entrevistas Seguridad de datos Actualmente la duplicacin y preservacin de la informacin depende de la empresa quien es responsable de proteger su informacin contra prdidas, modificacin de las mismas y accesos a personal no autorizado.

28

DISTRIBUCIN Y MANTENIMIENTO DE EQUIPOS Distribucin de los equipos informticos No existen mayores dificultades, puesto que todos los equipos informticos yacen en un mismo ambiente, y por cuyas dimensiones no son representa gran inconveniente. Mantenimiento de los equipos informticos En cuanto a su mantenimiento no se cuenta con personal adecuado y capacitado para solucionar problemas en el mal funcionamiento del hardware, lo cual retrasa el trabajo del usuario del equipo afectado. Segn la informacin obtenida, no se tiene plan o cronograma para el
mantenimiento de equipos, por lo que el mismo se da espordicamente para lo cual se hace uso de servicios tcnicos externos.
ENCUESTA: 1. Se han adoptado medidas de seguridad en el departamento de sistemas de informacin? 2. Existe una persona responsable de la seguridad?

29

3. Se ha dividido la responsabilidad para tener un mejor control de la seguridad? 4. Existe personal de vigilancia en la institucin?
5. Existe una clara definicin de funciones entre los puestos clave? 6. Se controla el trabajofuera de horario?
7. Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan daar los sistemas?. 8. Existe vigilancia en el departamento de cmputo las 24 horas? 9. Se permite el acceso a los archivos y programa a los
programadores, analistas y operadores? 10. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorizacin? 11. El centro de cmputo tiene salida al exterior? 12. Son controladas las visitas y demostraciones en el centro de cmputo? 13. Se registra el acceso al departamento de cmputo de personas ajenas a la direccin de informtica? 14. Se vigilan la moral y comportamiento del personal de la direccin de informtica con el fin de mantener una buena imagen y evitar un posible fraude? 15. Se ha adiestrado el personal en el manejo de los extintores? 16. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? 17. Si es que existen extintores automticos son activador por detectores automticos de fuego? 18. Los interruptores de energa estn debidamente protegidos,
etiquetados y sin obstculos para alcanzarlos? 19. Saben que hacer los operadores del departamento de cmputo, en caso de que ocurra una emergencia ocasionado por fuego? 20. El personal ajeno a operacin sabe que hacer en el caso de una emergencia (incendio)? 21. Existe salida de emergencia?

30

22. Se revisa frecuentemente que no est abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? 23. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? 24. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cmputo para evitar daos al equipo? 25. Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? 26. Se cuenta con copias de los archivos en lugar distinto al de la computadora? 27. Se tienen establecidos procedimientos de actualizacin a estas copias? 28. Existe departamento de auditoria interna en la institucin? 29. Este departamento de auditoria interna conoce todos los aspectos de los sistemas? 30. Se cumplen? 31. Se auditan los sistemas en operacin? 32. Una vez efectuadas las modificaciones, se presentan las pruebas a los interesados? 33. Existe control estricto en las modificaciones? 34. Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? 35. Si se tienen terminales conectadas, se ha establecido procedimientos de operacin? 36. Se ha establecido que informacin puede ser acezada y por qu persona?

31

AUDITORIA OFIMATICA ALCANCE La auditoria Ofimtica fue aplicada en todas las reas que se encuentran en aplicacin (coordinacin, administracin, unidad de investigacin, unidad de semillas, y unidad de capacitacin), las mismas que operan en la oficina principal rea de informtica Los puntos que se tomarn son, Revisin de: inventario, polticas de mantenimiento, licencias, desempeo del software existente, seguridad de la data. OBJETIVOS Determinar si el inventario ofimtico refleja con exactitud los equipos y aplicaciones existentes en la organizacin Determinar y evaluar la poltica de mantenimiento definida en la organizacin Verificar el desempeo del software empleado en la institucin Verificar la legalizacin del software utilizado. Verificar la seguridad en la data
DESARROLLO DE LA AUDITORA Todas las opiniones profesionales vertidas en este documento estn respaldadas por las entrevistas, inventarios y observaciones realizadas durante las visitas a la Institucin. INVENTARIO De acuerdo a la investigacin realizada por la consultora de Auditores, la empresa OLVA COURIER., so cuenta con un inventario, la cual si saben con exactitud con cuantos equipos de hardware/software cuentan.

32

MANTENIMIENTO La empresa OLVA COURIER no cuenta con una poltica de mantenimiento preventivo de sus equipos, se hace mantenimiento solo y cada vez que estos empiezan a fallar. SISTEMAS - NECESIDADES Actualmente existen dos aplicaciones en red que son: Sistema de envio , Sistema comercial pero dichas aplicaciones son utilizados actualmente. Adems cabe recalcar que algunos accesorios de cmputo no se utilizan a cabalidad como por ejemplo las quemadoras y lectoras, son 4 computadoras de escritorio y cada uno de ellos posee una quemadora y lectora, pero estos accesorios se utilizan con poca frecuencia. LICENCIAMIENTO Los Software que se utilizan en la empresa OLVA COURIER solo dos sistemas cuentan con licencias, el resto ninguno de ellos cuentan con licencia, esto puede ser perjudicable para la empresa ya que puede haber fuertes sanciones por el uso ilegal

33

APLICACIONES INSTALADAS No existe un control del software que los trabajadores puedan descargar de Internet y el uso que le den a los mismos, de igual forma de software no licenciado que puedan instalar en los equipos. COPIAS DE SEGURIDAD La empresa OLVA COURIER no realizan copias deseguridad (backup) de sus datos, ya que ante un desastre fsico (robo, hurto) o lgico (virus) se pierde toda la data, pero realizan un descargo a lima diariamente. ENCUESTAS: 1. Existe un informe tcnico en el que se justifique la adquisicin del equipo, software y servicios de computacin, incluyendo un estudio costo beneficio? 2. Existe un comit que coordine y se responsabilice de todo el proceso de adquisicin e instalacin? 3. Han elaborado un instructivo con procedimientos a seguir para la seleccin y adquisicin de equipos, programas y servicios computacionales? 4. se cuenta con software de oficina? 5. Se han efectuado las acciones necesarias para una mayor participacin de proveedores? 6. Se ha asegurado un respaldo de mantenimiento y asistencia tcnica? 7. El acceso al centro de cmputo cuenta con las seguridades necesarias para reservar el ingreso al personal autorizado? 8. Se han implantado claves o password para garantizar operacin de consola y equipo central (mainframe), a personal autorizado? 9. Se han formulado polticas respecto a seguridad, privacidad y proteccin de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violacin?

34

10. Se mantiene un registro permanente (bitcora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos? 11. Los operadores del equipo central estn entrenados para recuperar o restaurar informacin en caso de destruccin de archivos? 12. Los backups son mayores de dos (padres e hijos) y se guardan en lugares seguros y adecuados, preferentemente en bvedas de bancos? 13. Se han implantado calendarios de operacin a fin de establecer prioridades de proceso? 14. Todas las actividades del Centro de Computo estn normadas mediante manuales, instructivos, normas, reglamentos, etc.? 15. Las instalaciones cuentan con sistema de alarma por presencia de fuego, humo, as como extintores de incendio, conexiones elctricas seguras, entre otras? 16. Se han instalado equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa? 17. Se han contratado plizas de seguros para proteger la informacin, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operacin? 18. Se han Adquirido equipos de proteccin como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisicin del equipo? 19. Si se vence la garanta de mantenimiento del proveedor se contrata mantenimiento preventivo y correctivo? 20. Se establecen procedimientos para obtencin de backups de paquetes y de archivos de datos? 21. Se hacen revisiones peridicas y sorpresivas del contenido del disco para verificar la instalacin de aplicaciones no relacionadas a la gestin de la empresa? 22. Se mantiene programas y procedimientos de deteccin e inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos?

35

23. Se propende a la estandarizacin del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrnicas, manejadores de base de datos y se mantienen actualizadas las versiones y la capacitacin sobre modificaciones incluidas?

36

AUDITORIA DE REDES ALCANCE La auditoria de redes fue aplicada en todas las reas que se encuentran en aplicacin (coordinacin, administracin, unidad de investigacin, unidad de semillas, y unidad de capacitacin), las mismas que operan en la oficina principal (oficina administrativa) Los puntos a tomar en cuenta sern los siguientes: Organizacin y calificacin del tendido de red. Planes y procedimientos. Sistemas tcnicos de Seguridad y Proteccin. OBJETIVOS reas controladas para los equipos de comunicaciones, previniendo as accesos inadecuados Proteccin y tendido adecuado de cables y lneas de comunicacin, para evitar accesos fsicos Revisar las polticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la Red Lan REFERENCIA LEGAL Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96) ENCUESTAS 1. La gerencia de redes tiene una poltica definida de planeamiento de tecnologa de red? 2. Esta poltica es acorde con el plan de calidad de la organizacin

37

3. La gerencia de redes tiene un plan que permite modificar en forma oportuna el plan a largo plazo de tecnologa de redes , teniendo en cuenta los posibles cambios tecnolgicos o en la organizacin? 4. Existe un inventario de equipos y software asociados a las redes de datos? 5. Existe un plan de infraestructura de redes? 6. El plan de compras de hardware y software para el sector redes est de acuerdo con el plan de infraestructura de redes? 7. La responsabilidad operativa de las redes esta separada de las de operaciones del computador? 8. Estn establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a travs de redes pblicas, y para proteger los sistemas conectados 9. Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas? 10. Existen controles y procedimientos de gestin para proteger el acceso a las conexiones y servicios de red.? 11. Existen protocolos de comunicaron establecida 12. Existe una topologa estandarizada en toda la organizacin 13. Existen normas que detallan que estndares que deben cumplir el hardware y el software de tecnologa de redes? 14. La transmisin de la informacin en las redes es segura? 15. El acceso a la red tiene password? DESARROLLO DE LA AUDITORIA para el desarrollo de esta auditora especfica se emplear el modelo adoptado por iso (internacional standarts organization), el cual se denomina modelo osi (open systems interconection), el cual consta de 7 capas, las cuales se tomarn para realizar la auditora.

38

Areas controladas para los equipos de comunicaciones, previniendo as accesos inadecuados los equipos de comunicaciones ( switch, router ) no se mantienen en habitaciones cerradas la seguridad fsica de los equipos de comunicaciones (switch, router) es inadecuada. cualquier persona tiene acceso ya que se encuentra cerca de un lugar transitable
Proteccin y tendido adecuado de cables y lneas de comunicacin, para evitar accesos fsicos los cables de comunicacin de datos, elctricos y de telfono estn juntos y amarrados por otro cable, no existen procedimientos para la proteccin de cables y bocas de conexin, esto dificulta que sean interceptados o conectados por personas no autorizadas, no se realiza revisiones preventivas a la red de comunicaciones Revisar las polticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la red lan A. Mapa de redes

39
B.- Modelo OSI, capa Fsica. Capa Fsica: Transforma la informacin en seales fsicas adaptadas al medio de comunicacin. El cableado utilizado para el tendido de red presenta las siguientes caractersticas: Tipo de Cable: Par trenzado sin apantallar (UTP Categora 5) Conectores: RJ-45 El tipo de cables y conectores utilizados para este tipo de red es adecuado, segn la norma EIA/TIA, el problema radica en el tendido del cableado ya que no cuenta con ninguna proteccin (canaletas) y adems los cables de comunicacin de datos, elctricos y de telfono se encuentran amarrados por otros cables.

40

C.- Modelo OSI, capa de Enlace Capa de Enlace: Transforma los paquetes de informacin en tramas adaptadas a los dispositivos fsicos sobres los cuales se realiza la transmisin. De acuerdo al inventario de hardware se resumen los siguientes componentes: Topologa de la Red: Estrella Especificaciones: Ethernet Tarjeta de Red: D-Link DFE-530TX PCI Fast Ethernet Adapter
Hay que especificar que las tarjetas de redes utilizadas son del mismo tipo, la cual es recomendable para la transferencia adecuada de los datos. D.- Modelo OSI, capa de Red. Capa de Red: Establece las rutas por las cuales se puede comunicar el emisor con el receptor, lo que se realiza mediante el envo de paquetes de informacin. En la institucin si utilizan los siguientes componentes: Velocidad de transmisin 10/100 MBps Switch D-link de 8 puertos Protocolo TCP/IP
De acuerdo a las necesidades de la empresa, el Switch empleado no presenta problemas en la transmisin de datos ya que todos los documentos realizados por los clientes se guardan en el servidor. E.- Modelo OSI, capa de Transporte. Capa de Transporte: Comprueba la integridad de los datos transmitidos (que no ha habido prdidas ni corrupciones).

41

En la Empresa se utiliza el Protocolo TCP/IP para la transmisin datos, lo cual es lo ptimo debido a que es ms seguro y utilizado en la actualidad que el protocolo UDP. F.- Modelo OSI, capa de Sesin. Capa de Sesin: Establece los procedimientos de aperturas y cierres de sesin de comunicaciones, as como informacin de la sesin en curso. En la Empresa no existe un control de las sesiones ms que la que propone el sistema operativo que se posee en cada computadora, lo cual representa un hoyo en la seguridad de la informacin.

42

G.- Modelo OSI, capa de Presentacin. Capa de Presentacin: Define el formato de los datos que se van a presentar a la aplicacin. Actualmente existen dos aplicaciones en red que son: Sistema de envi (vcourier) y el otro sistema masivo

43

H.- Modelo OSI, capa de Aplicacin. Capa de Aplicacin: Es donde la aplicacin que necesita comunicaciones enlaza, mediante API (Application Program Interface) con el sistema de comunicaciones. De acuerdo a las entrevistas en la institucin se resume lo siguiente: Se utiliza el Protocolo FTP para el intercambio de informacin, el cual se usa para las impresoras. Correo de la institucin.

44

AUDITORIA DE BASE DE DATOS ALCANCE DE LA AUDITORIA: Esta auditoria comprende solamente al rea informtica de la empresa OLVA COURIER con respecto al cumplimiento del proceso "De Gestin administracin de la Base de Datos " de la de manera que abarca la explotacin, mantenimiento, diseo carga, post implementacin, Los sistemas de gestin de base de datos (SGBD), software de auditoria , sistema operativo protocolos y sistemas distribuidos. OBJETIVOS Verificar la responsabilidad para la planificacin de planillas y control de los activos de datos de la organizacin (administrador de datos) Verificar la responsabilidad de la administracin del entorno de la base de datos (administrador de la base de datos) Proporcionar servicios de apoyo en aspectos de organizacin y mtodos, mediante la definicin, implantacin y actualizacin de Base de Datos y/o procedimientos administrativos con la finalidad de contribuir a la eficiencia Existe equipos o software de SGBD ENCUESTA 1. Existe equipos o software de SGBD 2. La organizacin tiene un sistema de gestin de base dedatos (SGBD) 3. Los datos son cargados correctamente en la interfaz grafica 4. Se verificar que los controles y relaciones de datos se realizan de acuerdo a Normalizacin libre de error 5. Existe personal restringido que tenga acceso a la BD 6. El SGBD es dependiente de los servicios que ofrece el Sistema Operativo UNIVERSIDAD NACIONAL DE MOQUEGUA
45

7. La interfaz que existe entre el SGBD y el SO es el adecuado 8. Existen procedimientos formales para la operacin del SGBD? 9. Estn actualizados los procedimientos de SGBD? 10. La periodicidad de la actualizacin de los procedimientos es Anual ? 11. Son suficientemente claras las operaciones que realiza la BD? 12. Existe un control que asegure la justificacin de los procesos en el computador? (Que los procesos que estn autorizados tengan una razn de ser procesados) 13. Se procesa las operaciones dentro del departamento de cmputo? 14. Se verifican con frecuencia la validez de los inventarios de los archivos magnticos? 15. Existe un control estricto de las copias de estos archivos? 16. Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos? 17. Se registran como parte del inventario las nuevas cintas magnticas que recibe el centro de computo? 18. Se tiene un responsable del SGBD? 19. Se realizan auditorias peridicas a los medios de almacenamiento? 20. Se tiene relacin del personal autorizado para manipular la BD? 21. Se lleva control sobre los archivos trasmitidos por el sistema? 22. Existe un programa de mantenimiento preventivo para el dispositivo del SGBD? 23. Existen integridad de los componentes y de seguridad de datos?

46

24. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de cmputo, existe equipo capacesque soportar el trabajo? 25. El SGBD tiene capacidad de teleproceso? 26. Se ha investigado si ese tiempo de respuesta satisface a los usuarios? 27. La capacidad de almacenamiento mximo de la BD es suficiente para atender el proceso por lotes y el proceso remoto?

47
VERIFICAR LA AUDITORIA INFORMATICA

48

INFORME ESPECFICO 1. Ttulo Auditoria Fsica 2. Cliente rea de informtica 3. Entidad Auditada Empresa OLVA COURIER 4. Objetivos Verificar la ubicacin y seguridad de las instalaciones. Determinar y evaluar la poltica de mantenimiento y distribucin de los equipos. Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente Verificar si la seleccin de equipos y Sistemas de computacin es adecuada.
5. Normativa aplicada y excepciones Para esta auditora se ha tomado en cuenta la Normas de Auditorias Gubernamentales: Normas de Control Interno para sistemas computarizados (NAGU 500). 6. Alcance El presente trabajo de auditoria fsica, comprende el periodo 1013 y se ha realizado a la Empresa OLVA COURIER, de acuerdo a las normas y dems disposiciones aplicables. 7. Conclusiones La seguridad fsica en la Institucin, segn las normativas
aplicadas, es favorable aunque con ciertas salvedades. No se han tomado las previsiones necesarias en caso de futuros riesgos La empresa OLVA VOURIER. Solo ha mostrado preocupacin en lo referente a las operaciones propias del negocio, olvidndose en cierta parte de la responsabilidad para con sus usuarios y trabajadores. UNIVERSIDAD NACIONAL DE MOQUEGUA
49

8. Resultados De acuerdo a los objetivos planteados previamente, los resultados seran los siguientes: Verificar la ubicacin y seguridad de las instalaciones. Ubicacin de la institucin, favorable con salvedades, debido a que no se trata de un local propio Seguridad de las instalaciones en cuanto a vigilancia,
favorable, puesto que se cuenta con la seguridad de la misma sede Identificacin de Salidas, favorable con algunas salvedades como el cuidado de no colocar objetos que obstruyan el paso Seguridad ante Sismos, desfavorable, debido a que la salida inmediata del ambiente coincide un el paso de vehculos, que muchas tomado como estacionamiento veces es
de camionetas de la sede.
Seguridad ante Incendios, Desfavorable Seguridad elctrica, en el cableado. favorable con salvedades; falta organizacin
Verificar la seguridad de informacin. El ambiente principal se encuentra toda la documentacin fsica de la empresa, la misma que por tratarse de papeles, folios y aerosoles constituyen material altamente inflamable, pese a ello no se cuenta con un sistema contra incendios y por aun el personal no se encuentra capacitado para el uso de ellos. La data, adems de ser almacenada en el servidor, esta a disposicin de los trabajadores, quienes portan la documentacin en disquete u otros dispositivos de almacenamiento, como CD, memorias USB,
echo poco favorable debido posible plagio de informacin. Evaluar la seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente Aspecto desfavorable, debido a que el ambiente es pequeo, y no se cuenta con la seguridad debida. UNIVERSIDAD NACIONAL DE MOQUEGUA
50
Verificar si la seleccin de equipos y Sistemas de computacin es adecuada. Desfavorable, puesto que todas las computadoras, indistintamente
de las caractersticas particulares que pueda tener, son usadas para un mismo propsito
9. Recomendaciones Reubicacin del local Implantacin de equipos de ultima generacin Implantar equipos de ventilacin Implantar salidas de emergencia. Elaborar un calendario de mantenimiento de rutina peridico . Capacitar al personal.
10. Fecha Del Informe FECHA DE INICIO 19-12-13 FECHA DE TERMINO 26-12-13
11. Identificacin Y Firma Del Auditor
--------------------------------ATT. Jos Luis Callacondo

JEFE DE AUDITORIA INFORMTICA
--------------------------------ATT. Isabel Vilca Quispe

AUDITORA INFORMATICA
--------------------------------ATT. Shirley Mamani Rodrguez


51

INFORME FINAL 1. Identificacin del informe Auditoria de la Ofimtica 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada OLCA COURIER 4. Objetivos Verificar si el hardware y software se adquieren siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. Verificar si la seleccin de equipos y sistemas de computacin es adecuada Verificar la existencia de un plan de actividades previo a la instalacin Verificar que los procesos de compra de Tecnologa de Informacin, deben estar sustentados en Polticas, Procedimientos, Reglamentos y Normatividad en General, que aseguren que todo el proceso se realiza en un marco de legalidad y cumpliendo con las verdaderas necesidades de la organizacin para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos. Verificar si existen garantas para proteger la integridad de los recursos informticos. Verificar la utilizacin adecuada de equipos acorde a planes y objetivos.
5. Normativa aplicada y excepciones Para esta auditora se toman en cuenta la norma ISO 17799 y Normas de Auditorias Gubernamentales: Normas de Control Interno para sistemas computarizados (NAGU 500).

1

6. Hallazgos Potenciales Falta de licencias de software. Falta de software de aplicaciones actualizados No existe un calendario de mantenimiento ofimatico. Faltan material ofimtica. Carece de seguridad en Acceso restringido de los equipos ofimticos y software.
7. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado especialmente al Departamento de centro de cmputo de acuerdo a las normas y dems disposiciones aplicable al efecto. El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria Ofimtica, se complementa con los objetivos de sta. 8. Conclusiones El aspecto ofimtico de la Institucin, en la opinin del auditor a base de las normativas aplicadas, es favorable aunque con salvedades. No todo el software propietario que se maneja en la institucin est debidamente licenciado, caso de los sistemas operativos y las herramientasde escritorio (Office). El rea de informatica presenta deficiencias sobre el debido cumplimiento de Normas de seguridad. La escasez de personal debidamente capacitado. Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a la organizacin, el cual no es explotado en su totalidad por falta de personal capacitado.

2

9. Resultados Revisin del inventario de los accesorios de cmputo No cuentan con un inventario del parque informtico
Revisin de las licencias del software. No todo el software propietario que se maneja en la institucin est debidamente licenciado, caso de los sistemas operativos y las herramientas de escritorio (Office) Verificar el desempeo del software empleado en la institucin Actualmente existen dos aplicaciones en red que son:
Sistema contable financiero (suite contasis), Sistema comercial (Suite contasis) pero dichas aplicaciones no son utilizados actualmente, por lo que no se le puede dar un calificativo de desempeo. Seguridad en la Data La seguridad en los datos es baja porque no cuentan con medidas de seguridad, como por ejemplo los backup. 10. Recomendaciones Se recomienda contar con sellos y firmas digitales Un de manual de funciones para cada puesto de trabajo dentro del rea. Reactualizacion de datos. Implantacin de equipos de ultima generacin Elaborar un calendario de mantenimiento de rutina peridico . Capacitar al personal.

3

11. Fecha del Informe
FECHA DE INICIO 19-12-13
FECHA DE TERMINO 29-12-13
12. Identificacin y Firma del Auditor
---------------------------ATT. Jos Luis Callacondo

--------------------------ATT. Isabel Vilca Quispe

---------------------------ATT. Shirley Mamani Rodrguez


4

INFORME DE AUDITORIA 1. Identificacin del informe Auditoria del Sistema de Redes 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada OLVA COURIER 4. Objetivos reas controladas para los equipos de comunicaciones, previniendo as accesos inadecuados Proteccin y tendido adecuado de cables y lneas de comunicacin, para evitar accesos fsicos Revisar las polticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la Red Lan 5.- Normativa aplicada y excepciones La especificacin utilizada en esta auditora de redes es la Normativa actual IEEE 802.3 para redes LAN Ethernet 10/100MBps (utilizada por la empresa), adems de la norma ISO 17799 y Normas de Auditorias Gubernamentales: Normas de Control Interno para sistemas computarizados (NAGU 500). 6. Alcance El presente trabajo de auditoria de red, comprende el presente periodo 2013 y se ha realizado en la empresa OLVA COURIER de acuerdo a las normas y dems disposiciones aplicables.

1

7.- Conclusiones El aspecto de redes en la Empresa, la opinin de los Auditores a base de las normativas aplicadas, es desfavorable. No existe un conocimiento actualizado del cableado de red; el cableado no se encuentra protegido y su distribucin e implementacin no es la buena, aunque funcione la red. 8. Resultados reas controladas para los equipos de comunicaciones, previniendo as accesos inadecuados Los equipos de comunicaciones ( Switch, router ) no se mantienen en habitaciones cerradas La seguridad fsica de los equipos de comunicaciones (Switch, Router) es inadecuada. Cualquier persona tiene acceso ya que se encuentra cerca de un lugar transitable proteccin y tendido adecuado de cables y lneas de comunicacin, para evitar accesos fsicos Los cables de comunicacin de datos, elctrios y de telfono estn juntos y amarrados por otro cable. No existen procedimientos para la proteccin de cables y bocas de conexin, esto dificulta que sean interceptados o conectados por personas no autorizadas No se realiza revisiones preventivas a la red de comunicaciones
Revisar las polticas y normas sobre redes y el funcionamiento de la red y la seguridad de los datos dentro de la Red Lan No existen polticas y/o normas para regular el uso de la red de dicha empresa

2

La red funciona correctamente de acuerdo al tamao de la empresa; esta no podr soportar un desarrollo de la misma. No existe una seguridad centralizada de los datos, slo la seguridad brindada por el sistema operativo instalado en cada equipo. 9. Fecha del Informe
10. Identificacin y Firma del Auditor




3

INFORME DE AUDITORIA 1. Identificacin del informe Auditoria de Base de Datos. 2. Identificacin del Cliente El rea de Informtica 3. Identificacin de la Entidad Auditada OLVA COURIER 4. Objetivos Evaluar el tipo de Base de Datos, relaciones, plataforma o sistema operativo que trabaja, llaves, administracin y dems aspectos que repercuten en su trabajo. Revisar del software institucional para la administracin de la Base de Datos. Verificar la actualizacin de la Base de Datos. Verificar la optimizacin de almacenes de los Base de Datos Revisar que el equipo utilizado tiene suficiente poder de procesamiento y velocidad en red para optimizar el desempeo de la base de datos. 5. Hallazgos Potenciales No estn definidos los parmetros o normas de calidad. Falta de presupuesto Falta de personal La gerencia de Base de datos no tiene un plan que permite modificar en forma oportuna el plan a largo plazo de tecnologa, teniendo en cuenta los posibles cambios tecnolgicos y el incremento de la base de datos. No existe un calendario de mantenimiento de rutina peridico del software definido por la Base de datos. UNIVERSIDAD NACIONAL DE MOQUEGUA
1
6. Alcance de la auditoria Nuestra auditoria, comprende el presente periodo 2013 y se ha realizado especialmente al Departamento de centro de cmputo de acuerdo a las normas y dems disposiciones aplicable al efecto. 7. Conclusiones: Como resultado de la Auditoria podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria. El Departamento de centro de cmputo presenta deficiencias sobre todo en el debido cumplimiento de Normas de seguridad de datos y administracin de la Base de Datos. 8. Recomendaciones Elaborar toda la documentacin lgica correspondiente a los sistemas de administracin de la BD. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y an de los programadores. Implementar la relaciones con las diferentes reas en cuanto al compartimiento dearchivos permitidos por las normas Elaborar un calendario de mantenimiento de rutina peridico. Capacitar al personal al manejo de la BD. Dar a conocer la importancia del SGBD al usuario
9. Fecha Del Informe

2

10. Identificacin Y Firma Del Auditor




3
ACTUAR DE LA AUDITORIA INFORMATICA

1

1. INFORME DEL CIERRE DE AUDITORIA ACLARACION DE LA SOLICITUD OLVA COURIER S.A Ilo, 28 de Diciembre del 2013 Seores OLVA COURIER S.A De nuestra consideracin: Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideracin el alcance del trabajo de Auditora del rea de Informtica practicada los das 16-28 del corriente, sobre la base del anlisis y procedimientos detallados de todas las informaciones recopiladas y emitidos en el presente informe, que a nuestro criterio es razonable. Sntesis de la revisin realizada, clasificado en las siguientes secciones Auditoria fsica Auditoria ofimtica Auditoria de sistema de redes Auditoria de base de datos El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su anlisis. a. Situacin. Describe brevemente las debilidades resultantes de nuestro anlisis. b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se encuentran expuestos las operaciones realizadas por la Cooperativa. c. ndice de importancia establecida. Indica con una calificacin del 0 al 3 el grado crtico del problema y la oportunidad en que se deben tomar las acciones correctivas del caso. UNIVERSIDAD NACIONAL DE MOQUEGUA
2

0 = Alto (acciones correctivas inmediatas) 1 = Alto (acciones preventivas inmediatas) 2 = Medio (acciones diferidas correctivas) 3 = Bajo (acciones diferidas preventivas) d. Sugerencias. Indicamos a la Gerencia la adopcin de las medidas correctivas tendientes a subsanar las debilidades comentadas. Segn el anlisis realizado hemos encontrado falencias en que no existe un Comit y plan informtico; falta de organizacin y administracin del rea; falencias en la seguridad fsica y lgica; no existe auditora de sistemas; falta de respaldo a las operaciones; accesos de los usuarios; plan de contingencias; y entorno de desarrollo y mantenimiento de las aplicaciones. El detalle de las deficiencias encontradas, como as tambin las sugerencias de solucin se encuentran especificadas en el Anexo adjunto. La aprobacin y puesta en prctica de estas sugerencias ayudarn a la empresa a brindar un servicio ms eficiente a todos sus clientes. Agradecemos la colaboracin prestada durante nuestra visita por todo el personal de su empresa Olva Courier y quedamos a vuestra disposicin para cualquier aclaracin y/o ampliacin de la presente que estime necesaria. Atentamente EQUIPO AUDITORES S.R.L.

3

2 .OBSERVACIONES FORMATO DE OSERVACIONES Nombre de la empresa Observacin OLVA COURIER S.A Seguridad Fsica Lgica
SITUACION
EFECTOS IMPLICANCIA
Y/0 SUGERENCIA
No existe una vigilancia estricta del rea de Informtica por personal de seguridad dedicado a este sector. No existe detectores, ni extintores automticos. Existe material altamente inflamable. Carencia de un estudio de vulnerabilidad, frente a las riesgos fsicos o no fsicos, incluyendo el riesgo Informtico. No existe un puesto o cargo especfico para la funcin de seguridad Informtica
Probable difusin de datos confidenciales. Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles internos. Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las actividades informticas podran verse seriamente afectadas ante eventuales roturas y/o desperfectos de los sistemas.
INDICE DE IMPORTANCIA ESTABLECIDA A los efectos de minimizar los 0 ( cero ) riesgos descriptos, se sugiere: Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al rea de Informtica. Colocar detectores y extintores de incendios automticos en los lugares necesarios. Remover del Centro de Cmputos los materiales inflamables. Determinar orgnicamente la funcin de seguridad. Realizar peridicamente un estudio de vulnerabilidad, documentando efectivamente el mismo, a los efectos de implementar las acciones correctivas sobre los puntos dbiles que se detecten.

4

FORMATO DE OSERVACIONES Nombre de la empresa Observacin OLVA COURIER S.A Operacin de respaldo
N 1
SITUACION
EFECTOS Y/0 IMPLICANCIA SUGERENCIA
INDICE DE IMPORTANCIA ESTABLECIDA
Existe una rutina de trabajo de tomar una copia de respaldo de datos en cuadernos y UBS, que se encuentra en el recinto del centro de cmputos, en poder del auxiliar de informtica. Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la prueba sistemtica de las mismas a efectos de establecer los mnimos niveles de confiabilidad.
La Empresa Olva Courier est expuesta a la perdida de informacin por no poseer un chequeo sistemtico peridico de los back-up's, y que los mismas se exponen a riesgo por encontrarse en poder del auxiliar de informtica.
Desarrollar normas y 0 ( cero ) procedimientos generales que permitan la toma de respaldo necesarios, utilitario a utilizar. Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el recinto del rea de informtica, otra en la sucursal ms cercana y la ltima en poder del Jefe de rea. Implementar pruebas sistemticas semanales de las copias y distribucin de las mismas.

5

FORMATO DE OSERVACIONES Nombre de la empresa Observacin OLVA COURIER S.A Acceso a Usuarios
SITUACION
EFECTOS IMPLICANCIA
Y/0 SUGERENCIA
De acuerdo a lo relevado hemos constatado que: Existen niveles de acceso permitidos, los cuales son establecidos conforme a la funcin que Cumple cada uno de los usuarios. Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso. Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema. El sistema informtico no solicita al usuario, el cambio del Password en forma mensual.
Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida entre el rea de sistema y los usuarios finales. La falta de seguridad en la utilizacin de los Password, podran ocasionar fraudes por terceros.
Implementar algn 2 ( dos ) software de seguridad y auditoria existente en el mercado o desarrollar uno propio. Establecer una metodologa que permita ejercer un control efectivo sobre el uso o modificacin de los programas o archivos por el personal autorizado.

6

FORMATO DE OSERVACIONES Nombre de la empresa Observacin OLVA COURIER S.A Plan de contingencia
N 1
SITUACION
INDICE DE IMPORTANCIA ESTABLECIDA Ausencia de un Plan de Prdida de Establecer un plan de 1 ( uno) Contingencia debidamente informacin vital. contingencia escrito, en formalizado en el rea de Prdida de la donde se establezcan los Informtica. capacidad de procedimientos No existen normas y procesamiento. manuales e informticos procedimientos que indiquen para restablecer la las tareas manuales e operatoria normal de la informticas que son Empresa y establecer los necesarias para realizar y responsables de cada recuperar la capacidad de sistema. procesamiento ante una Efectuar pruebas eventual contingencia ( simuladas en forma desperfectos de equipos, peridica, a efectos de incendios, cortes de energa monitorear el con ms de una hora ), y que desempeo de los determinen los niveles de Funcionarios participacin y responsables ante responsabilidades del rea de eventuales desastres. sistemas y de los Establecer convenios Usuarios. bilaterales con empresas No existen acuerdos o proveedores a los formalizados de Centro de efectos de asegurar los Cmputos paralelos con otras equipos necesarios para empresas o proveedores que sustentar la continuidad permitan la restauracin del procesamiento. inmediata de los servicios informticos de la empresa en tiempo oportuno, en caso de contingencia.
EFECTOS Y/0 SUGERENCIA IMPLICANCIA

7

FORMATO DE OSERVACIONES Nombre de la empresa Observacin OLVA COURIER S.A Mantenimiento de las aplicaciones de las PC
N 1
SITUACION
EFECTOS IMPLICANCIA
Y/0 SUGERENCIA
No existe documentaciones tcnicas del sistema integrado de la Entidad y tampoco no existe un control o registro formal de las modificaciones efectuadas. No se cuenta con un Software que permita la seguridad de las libreras de los programas y la restriccin y/o control del acceso de los mismos. Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se describen los cambios o modificaciones que se requieren.
La escasa documentacin tcnica de cada sistema dificulta la compresin de las normas, demandando tiempos considerables para su mantenimiento e imposibilitando la capacitacin del personal nuevo en el rea. Se incrementa an ms la posibilidad de producir modificaciones errneas y/o no autorizadas a los programas o archivos y que las mismas no sean detectadas en forma oportuna.
Elaborar toda la 1 ( uno) documentacin tcnica correspondiente a los sistemas implementados y establecer normas y procedimientos para los desarrollos y su actualizacin. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y an de los programadores. Implementar y conservar todas las documentaciones de prueba de los sistemas, como as tambin las modificaciones y aprobaciones de programas realizadas por los usuarios

8
FORMATO DE OSERVACIONES Nombre de la empresa Observacin OLVA COURIER S.A rea Informtica
SITUACION
EFECTOS IMPLICANCIA
Y/0 SUGERENCIA
INDICE
DE
IMPORTANCIA ESTABLECIDA
No
existe
una La
Empresa
Olva
Implementar 0 (cero ) los internos para el
validacin de la cuenta a Courier se encuentra debidamente donde debera expuesta a serios controles necesarios
acreditarse el monto del riesgos, entre ellos: aporte social.
Posibilidad de que adecuado manejo del
El inventario de salidas ocurran errores por la Usuario final. y entradas de cada falta de conocimiento Implementar un
operacin se hace en del tema contable en sistema de respaldo de forma manual, tanto en el rea operativa. inventario de envos
la parte de recepcin de Alto riesgo de que automtico. envos, envos como en de los el usuario final pueda
procesos incurrir en cambios no autorizados en los sistemas, por cuanto que el usuario final tiene acceso
cuando se cae el sistema.
irrestricto al mismo.

9

FORMATO DE OSERVACIONES Nombre de la empresa Observacin OLVA COURIER S.A Auditoria de sistema
SITUACION
EFECTOS IMPLICANCIA
Y/0 SUGERENCIA
INDICE
DE
IMPORTANCIA ESTABLECIDA
Hemos observado que Posibilidad de que Establecer normas y 0 ( cero ) en Olva Courier no cuenta adulteraciones con auditora Informtica , voluntarias ni con polticas involuntarias a procedimientos en los o que se fijen
sean responsables, los periodicidad y metodologa de
formales que establezcan realizadas responsables, frecuencias elementos y metodologa a seguir componentes
del control de todos los de archivos de auditoria
para efectuar revisiones procesamiento de los archivos de datos archivos
(programas, que pudieran existir de datos, como asimismo, de todos los elementos
auditora.
Cabe destacar que el definiciones de
sistema integrado posee seguridad de acceso, componentes de los un archivo que pudiera etc. ) o bien accesos a sistemas servir de auditoria datos confidenciales aplicacin. personas no de
Informtica, el cual no es por
habilitado por falta de autorizadas espacio en el disco duro. que no sean
detectadas oportunamente.

10

3. RESULTADOS RECOMENDACIONES Y ACCIONES DE LA AUDITORIA A. Seguridad Fsica Y Lgica A1.Entorno General -Situacin Durante nuestra revisin, hemos observado lo siguiente: No existe una vigilancia estricta del rea de Informtica por personal de seguridad dedicado a este sector. No existe detectores, ni extintores automticos. Existe material altamente inflamable. Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a los riesgos fsicos o no fsicos, incluyendo el riesgo Informtico. No existe un puesto o cargo especifico para la funcin de seguridad Informtica.
-Efectos y/o implicancias probables Probable difusin de datos confidenciales. Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles internos. Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las actividades informticas podran verse seriamente afectadas ante eventuales roturas y/o desperfectos de los sistemas.

11
-Sugerencias A los efectos de minimizar los riesgos descriptos, se sugiere: Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al rea de Informtica. Colocar detectores y extintores de incendios automticos en los lugares necesarios. Remover del Centro de Cmputos los materiales inflamables. Determinar orgnicamente la funcin de seguridad. Realizar peridicamente un estudio de vulnerabilidad, documentando efectivamente el mismo, a los efectos de implementar las acciones correctivas sobre los puntos dbiles que se detecten. A2.Auditora de Sistema -Situacin Hemos observado que la Empresa Olva Courier no cuenta con auditora Informtica, ni con polticas formales que establezcan responsables, frecuencias y metodologa a seguir para efectuar revisiones de los archivos de auditora. Cabe destacar que el sistema integrado posee un archivo que pudiera servir de auditoria Informtica, el cual no es habilitado por falta de espacio en el disco duro. -Efectos y/o implicancias probables Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los elementos componentes del procesamiento de datos (programas, archivos de datos, definiciones de seguridad de acceso, etc.) o bien accesos a datos confidenciales por personas no autorizadas que no sean detectadas oportunamente.

12

-Sugerencias Establecer normas y procedimientos en los que se fijen responsables, periodicidad y metodologa de control de todos los archivos de auditoria que pudieran existir como asimismo, de todos los elementos componentes de los sistemas de aplicacin. A.3. Operaciones de Respaldo -Situacin Durante nuestra revisin hemos observado que: Existe una rutina de trabajo de tomar una copia de respaldo de datos en Cuadernos y USB, que se encuentra en el recinto del centro de cmputos, en poder del auxiliar de informtica. Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la prueba sistemtica de las mismas a efectos de establecer los mnimos niveles de confiabilidad.
- Efectos y/o implicancias probables La Empresa Olva Courier est expuesta a la perdida de informacin por no poseer un chequeo sistemtico peridico de los backup's, y que los mismas se exponen a riesgo por encontrarse en poder del auxiliar de informtica. -Sugerencias Minimizar los efectos, ser posible a travs de: Desarrollar normas y procedimientos generales que permitan la toma de respaldo necesarios, utilitario a utilizar.

13

Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el recinto del rea de informtica, otra en la sucursal ms cercana y la ltima en poder del Jefe de rea. Implementar pruebas sistemticas semanales de las copias y distribucin de las mismas.
A.4. Acceso a usuarios -Situacin De acuerdo a lo relevado hemos constatado que: Existen niveles de acceso permitidos, los cuales son establecidos conforme a la funcin que cumple cada uno de los usuarios. Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso. Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema. El sistema informtico no solicita al usuario, el cambio del Password en forma mensual.
-Efectos y/o implicancia probables Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida entre el rea de sistema y los usuarios finales. La falta de seguridad en la utilizacin de los Password, podran ocasionar fraudes por terceros. - Sugerencia Implementar algn software de seguridad y auditoria existente en el mercado o desarrollar uno propio. Establecer una metodologa que permita ejercer un control efectivo sobre el uso o modificacin de los programas o archivos por el personal autorizado.

14

A.5. Plan de Contingencias -Situacin En el transcurso de nuestro trabajo hemos observado lo siguiente: Ausencia de un Plan de Contingencia debidamente formalizado en el rea de Informtica. No existen normas y procedimientos que indiquen las tareas manuales e informticas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual contingencia (desperfectos de equipos, incendios, cortes de energa con ms de una hora ), y que determinen los niveles de participacin y responsabilidades del rea de sistemas y de los usuarios. No existen acuerdos formalizados de Centro de Cmputos paralelos con otras empresas o proveedores que permitan la restauracin inmediata de los servicios informticos de la Empresa Olva Courier en tiempo oportuno, en caso de contingencia. -Efectos y/o implicancia probable Prdida de la capacidad de procesamiento. Prdida de informacin vital.
-Sugerencias Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos manuales e informticos para restablecer la operatoria normal de la Empresa Olva Courier y establecer los responsables de cada sistema. Efectuar pruebas simuladas en forma peridica, a efectos de monitorear el desempeo de los funcionarios responsables ante eventuales desastres. Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar los equipos necesarios para sustentar la continuidad del procesamiento. UNIVERSIDAD NACIONAL DE MOQUEGUA
15

B. Desarrollo y mantenimiento de los sistemas de aplicaciones B.1. Entorno de Desarrollo y mantenimiento de las aplicaciones -Situacin No existe documentaciones tcnicas del sistema integrado de la Cooperativa y tampoco no existe un control o registro formal de las modificaciones efectuadas. No se cuenta con un Software que permita la seguridad de las libreras de los programas y la restriccin y/o control del acceso de los mismos. Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se describen los cambios o modificaciones que se requieren. Efectos y/o implicancias probables La escasa documentacin tcnica de cada sistema dificulta la compresin de las normas, demandando tiempos considerables para su mantenimiento e imposibilitando la capacitacin del personal nuevo en el rea. Se incrementa an ms la posibilidad de producir modificaciones errneas y/o no autorizadas a los programas o archivos y que las mismas no sean detectadas en forma oportuna. -Sugerencias Para reducir el impacto sobre los resultados de los efectos y consecuencias probables sugerimos: Elaborar toda la documentacin tcnica correspondiente a los sistemas implementados y establecer normas y procedimientos para los desarrollos y su actualizacin. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y an de los programadores. Implementar y conservar todas las documentaciones de prueba de los sistemas, como as tambin las modificaciones y aprobaciones de programas realizadas por los usuarios UNIVERSIDAD NACIONAL DE MOQUEGUA
16

C. rea de Informtica -Situacin No existe una validacin de la cuenta a donde debera acreditarse el monto del aporte social. El inventario de salidas y entradas de cada operacin se hace en forma manual, tanto en la parte de recepcin de envos, como de los envos en procesos cuando se cae el sistema. . -Efectos y/o implicancias probables La Empresa Olva Courier se encuentra expuesta a serios riesgos, entre ellos: Posibilidad de que ocurran errores por la falta de conocimiento del tema contable en el rea operativa. Alto riesgo de que el usuario final pueda incurrir en cambios no autorizados en los sistemas, por cuanto que el usuario final tiene acceso irrestricto al mismo. -Sugerencias Implementar debidamente los controles internos necesarios para el adecuado manejo del usuario final. Implementar un sistema de respaldo de inventario de envos automtico.

17

4. AUTOMATIZACION DE PROCESOS

18

5. CONCLUSIONES La empresa OLVA COURIER tanto materiales como humanos, con lo anterior, se puede dar uno cuenta auditar una institucin no es nada fcil, ya que si falla un elemento del que se compone, trae consigo un efecto domino, que hace que los dems elementos bajen su rendimiento, o en el peor de los casos sean causantes del fracaso de la institucin. El factor humano es lo ms importante, ya que si se cuenta con tecnologa de punta, pero con personal no calificado o en desacuerdo con el desarrollo del Centro de Computo optara por renunciar, o bien por seguir rezagando al mismo Asimismo la capacitacin es importantsima, ya que si no hay capacitacin permanente, el personal tcnico de la empresa decide abandonarla para buscar nuevos horizontes y mayor oportunidad, aun sacrificando el aspecto econmico. El aspecto organizativo tambin debe estar perfectamente estructurado, y las lneas de mando deben estar bien definidas, evitando de esta manera la rotacin innecesaria de personal, la duplicidad de funciones, las lneas alternas demando, etc. y que conllevan al desquiciamiento de la estructura organizacional. Hablando de seguridad, es indispensable el aseguramiento del equipo y de las instalaciones, as como de la informacin, el control de los accesos tambin es punto fundamental para evitar las fugas de informacin o manipulacin indebida de esta. El Departamento de informtica es la parte medular de la empresa, es en donde los datos se convierten en informacin til a las diferentes reas, es donde se guarda esta informacin y por consecuencia, donde en la mayora de los casos se toman las decisiones importantes para la empresa. Adems al realizar la presente auditoria nos damos cuenta que dentro del ambiente empresarial es de vital importancia contar con la informacin lo ms valiosa que sea, a tiempo, de forma oportuna, clara, precisa y con cero errores para que se constituya en una herramienta poderosa para la toma de decisiones, vindose reflejada en la obtencin de resultados benficos a los fines de la organizacin y justificar el existir de toda la organizacin o empresa. UNIVERSIDAD NACIONAL DE MOQUEGUA
19

Como resultado de la Auditoria Informtica realizada a la empresa OLVA COURIER, por el perodo comprendido entre 19-28 de Diciembre del 2013 podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos contenidos en el programa de auditoria. El rea de Informtica presenta deficiencias en: Y en el debido cumplimiento de sus funciones. Podremos estar tranquilos y seguros que nuestra funcin de auditores est funcionando como se debe, y saber que cuando se siguen estos lineamientos se obtendrn sistemas que no van a necesitar mantenimiento excesivo, que el cmputo va a ser parte de la solucin y no parte del problema, como lo es hoy en da.
6. FIRMAS Elaborado por Revisado por: Autorizado por:
Jos Luis Callacondo
Isabel Vilca Quispe
Shirley Mamani Rodrguez
Firma
Firma
Firma

20
RECOMENDACIONES
Realizar evaluaciones peridicas con el fin de medir el avance de cada uno de los procesos estudiados en este trabajo.
Se debe utilizar software aplicativo con licenciamiento, as como adecuar las instalaciones del rea de informtica, puesto que el espacio de trabajo de este es muy limitado y sin las seguridades fiscas pertinentes.
Hacer el uso del presente trabajo, con el fin de tomarlo como gua para futuras mejoras en TI.

21

CONSEJOS 1. Utiliza un buen antivirus y actualzalo frecuentemente. 2. Comprueba que tu antivirus incluye soporte tcnico, resolucin urgente de nuevos virus y servicios de alerta. 3. Asegrate de que tu antivirus est siempre activo. 4. Verifica, antes de abrir, cada nuevo mensaje de correo electrnico recibido. 5. Evita la descarga de programas de lugares no seguros en Internet. 6. Rechaza archivos que no hayas solicitado cuando ests en chats o grupos de noticias 7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu ordenador. 8. Retira los disquetes de las disqueteras al apagar o reiniciar tu ordenador. 9. Analiza el contenido de los archivos comprimidos. 10. Mantente alerta ante acciones sospechosas de posibles virus. 11. Aade las opciones de seguridad de las aplicaciones que usas normalmente a tu poltica de proteccin antivirus. 12. Realiza peridicamente copias de seguridad. 13. Mantente informado. 14. Utiliza siempre software legal. 15. Exige a los fabricantes de software, proveedores de acceso a Internet y editores de publicaciones, que se impliquen en la lucha contra los virus

22
BIBLIOGRAFIA http://www.slideshare.net/AmdCdmas/informe-final-de-auditoria-informatica http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html} http://anaranjo.galeon.com/conceptos.htm http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/und_0/ http://auditoriainformaticafcat.blogspot.com/2012/02/ejemplo-de-propuesta-deauditoria.html http://html.rincondelvago.com/auditoria-de-sistemas-informaticos.html

23
ANEXOS

24

A. Cuestionario Informtica: Se tiene restringida la operacin del sistema de cmputo a los usuarios? SI ( ) NO ( ) de Auditora correspondiente al funcionamiento del rea de
Son funcionales los muebles asignados para los equipos de cmputo?
SI ( )
NO ( )
B. Cuestionario de Auditora correspondiente a la seguridad fsica: OLVA COURIER cuenta con extintores de fuego? SI ( ) NO ( )
Existe salida de emergencia? SI ( ) NO ( )
Existe alarma para detectar fuego (calor o humo) en forma automtica? SI ( ) Existen una persona responsable de la seguridad? SI ( ) NO ( ) NO ( )
El lugar donde se encuentra OLVA COURIER est situado a salvo de: a) Inundacin? ( ) b) Terremoto? ( ) c) Fuego? ( ) d) Sabotaje? ( )

25

C. Cuestionario de Auditoria en Redes: Estn establecidos controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a travs de redes pblicas, y para proteger los sistemas conectados? ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________
Existen
controles
especiales
para
mantener
la disponibilidad de los
servicios de red y computadoras conectadas? ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________
Existen protocolos de comunicaron establecida? ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________
Existe un plan de infraestructura de redes? ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________

26

Existen controles y procedimientos de gestin para proteger el
acceso a las conexiones y servicios de red? ______________________________________________________________________________ ______________________________________________________________________________ _______________________________________________________________
FOTOS

27

28

29

30

31

32

33

34

35

PREGUNTAS A. FISICA
1. Se han adoptado medidas de seguridad en el departamento de Sistemas de informacin? 2. Existe una persona responsable de la seguridad? 3. Se ha dividido la responsabilidad para tener un mejor control de la Seguridad? 4. Existe personal de vigilancia en la institucin? 5. Existe una clara definicin de funciones entre los puestos clave? 6. Se investiga a los vigilantes cuando son contratados directamente? 7. Se controla el trabajo fuera de horario? 8. Se registran las acciones de los operadores para evitar que realicen X Algunas pruebas que puedan daar los sistemas?. 9. Existe vigilancia en el departamento de cmputo las 24 horas? 10. Se permite el acceso a los archivos y programas a los Programadores, analistas y operadores? 11. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorizacin? 12. El centro de cmputo tiene salida al exterior? 13. Son controladas las visitas y demostraciones en el centro de Cmputo? 14. Se registra el acceso al departamento de cmputo de personas Ajenas a la direccin de informtica? 15. Se vigilan la moral y comportamiento del personal de la direccin de Informtica con el fin de mantener una buena imagen y evitar un posible fraude? 16. Se ha adiestrado el personal en el manejo de los extintores? 17. Se revisa de acuerdo con el proveedor el funcionamiento de los Extintores? 18. Si es que existen extintores automticos son activador por detectores Automticos de fuego? 19. Los interruptores de energa estn debidamente protegidos, Etiquetados y sin obstculos para alcanzarlos? 20. Saben que hacer los operadores del departamento de cmputo, en Caso de que ocurra una emergencia ocasionado por fuego? 21. El personal ajeno a operacin sabe que hacer en el caso de una Emergencia (incendio)? 22. Existe salida de emergencia? 23. Se revisa frecuentemente que no est abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? 24. Se ha adiestrado a todo el personal en la forma en que se deben Desalojar las instalaciones en caso de emergencia? X X
SI
NO
X X X
N/A
X X X X
X X X X
X X X X X X X

36
SI NO N/A
25. Se ha prohibido a los operadores el consumo de alimentos y bebidas X en el interior del departamento de cmputo para evitar daos al equipo? 26. Se limpia con frecuencia el polvo acumulado debajo del piso falso si X Existe? 27. Se cuenta con copias de los archivos en lugar distinto al de la Computadora? 28. Se tienen establecidos procedimientos de actualizacin a estas Copias? 29. Existe departamento de auditoria interna en la institucin? X 30. Este departamento de auditoria interna conoce todos los aspectos de los sistemas? 31. Se cumplen? 32. Se auditan los sistemas en operacin? 33. Una vez efectuadas las modificaciones, se presentan las pruebas a X los interesados? 34. Existe control estricto en las modificaciones? X 35. Se revisa que tengan la fecha de las modificaciones cuando se X Hayan efectuado? 36. Si se tienen terminales conectadas, se ha establecido Procedimientos de operacin? 37. Se ha establecido que informacin puede ser acezada y por qu Persona?
X X
X X X
X X
PREGUNTAS- A. OFIMATICA 1. Existe un informe tcnico en el que se justifique la adquisicin del equipo, software y servicios de beneficio? 2. Existe un comit que coordine y se responsabilice de todo el proceso de adquisicin e instalacin? 3. Han elaborado un instructivo con procedimientos a seguir para la seleccin y adquisicin de equipos, programas y servicios computacionales? 4. se cuenta con software de oficina? 5. Se han efectuado las acciones necesarias para una mayor participacin de proveedores?
SI
NO
N/A
computacin,
incluyendo
un

37

SI 6. Se ha asegurado un respaldo de mantenimiento y asistencia tcnica? 7. El acceso al centro de cmputo cuenta con las seguridades necesarias para reservar el ingreso 8. Se han implantado claves o password para garantizar operacin de consola y equipo central 9. Se han formulado polticas respecto a seguridad, privacidad y proteccin de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violacin? 10. Se mantiene un registro permanente (bitcora) de todos los procesos realizados, dejando procesos? (mainframe), a personal autorizado? al personal autorizado? NO N/A
constancia de suspensiones o cancelaciones de 11. Los operadores del equipo central estn
entrenados para recuperar o restaurar informacin en caso de destruccin de archivos? 12. Los backups son mayores de dos (padres e hijos) y se guardan en lugaresseguros y
adecuados, preferentemente en bvedas de bancos? 13. Se han implantado calendarios de operacin a fin de establecer prioridades de proceso? 14. Todas las actividades del Centro de Computo estn normadas mediante manuales, instructivos, 15. Las instalaciones cuentan con sistema de alarma por presencia de fuego, humo, as como extintores de incendio, conexiones elctricas seguras, entre otras? normas, reglamentos, etc.?

SI 16. Se han instalado equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como: reguladores de voltaje, NO N/A
supresores pico, UPS, generadore
17. Se han contratado plizas de seguros para proteger la informacin, equipos, personal y todo riesgo que se produzca por casos fortuitos o mala operacin? 18. Se han Adquirido equipos de proteccin como supresores de pico, reguladores de voltaje y de ser posible UPS previo a la adquisicin del equipo? 19. Si se vence la garanta de mantenimiento del proveedor se contrata mantenimiento preventivo y correctivo? 20. Se establecen procedimientos para obtencin de backups de paquetes y de archivos de datos? 21. Se hacen revisiones peridicas y sorpresivas del contenido del disco para verificar la instalacin de aplicaciones no relacionadas a la gestin de la empresa? 22. Se mantiene programas y procedimientos de deteccin e inmunizacin de virus en copias no 23. Se propende a la estandarizacin del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrnicas, manejadores de base de datos y se mantienen actualizadas las versiones y la capacitacin sobre modificaciones incluidas?
autorizadas o datos procesados en otros equi

PREGUNTAS - A. BASE DE DATOS SI NO 1. Existe equipos o software de SGBD 2. La organizacin tiene un sistema de gestin de base de datos (SGBD) 3. Los datos son cargados correctamente en la interfaz grafica 4. Se verificar que los controles y relaciones de datos se realizan de acuerdo a Normalizacin libre de error 5. Existe personal restringido que tenga acceso a la BD 6. El SGBD es dependiente de los servicios que ofrece el Sistema Operativo 7. La interfaz que existe entre el SGBD y el SO es el adecuado 8. Existen procedimientos formales para la operacin del SGBD? 9. Estn actualizados los procedimientos de SGBD? 10. La periodicidad de la actualizacin de los procedimientos es Anual ? 11. Son suficientemente claras las operaciones que realiza la BD? 12. Existe un control que asegure la justificacin de los procesos en el computador? (Que los procesos que estn autorizados tengan una razn de ser procesados) 13. Se procesa las operaciones dentro del departamento de cmputo? 14. Se verifican con frecuencia la validez de los inventarios de los archivos magnticos? 15. Existe un control estricto de las copias de estos archivos? 16. Se borran los archivos de los dispositivos almacenamiento, cuando se desechan estos? de N/A
17. Se registran como parte del inventario las nuevas cintas magnticas que recibe el centro de computo? 18. Se tiene un responsable del SGBD?

SI NO 19. Se realizan auditorias peridicas a los medios de almacenamiento? 20. Se tiene relacin del personal autorizado para manipular la BD? 21. Se lleva control sobre los archivos trasmitidos por el sistema? N/A
22. Existe un programa de mantenimiento preventivo para el dispositivo del SGBD? 23. Existen integridad de los componentes y de seguridad de datos? 24. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de cmputo, existe equipo capaces que soportar el trabajo? 25. El SGBD tiene capacidad de teleproceso? 26. Se ha investigado si ese tiempo de respuesta satisface a los usuarios? 27. La capacidad de almacenamiento mximo de la BD es suficiente para atender el proceso por lotes y el proceso remoto?
PREGUNTAS A. DE REDES 1. La gerencia de redes tiene una poltica definida
SI
NO
N/A
de planeamiento de tecnologa de red?

2. Esta poltica es acorde con el plan de calidad de la
organizacin
3. La gerencia de redes tiene un plan que permite modificar en
forma oportuna el plan a largo plazo de tecnologa de redes , teniendo en cuenta los posibles cambios tecnolgicos o en la organizacin?
4. Existe un inventario de equipos y software asociados a
las redes de datos?
SI 6. Existe un plan de infraestructura de redes? 7. El plan de compras de hardware y software para el sector redes est de acuerdo con el plan de infraestructura de redes? 8.
NO
N/A
La responsabilidad operativa de las redes esta separada de las de operaciones del computador?
confidencialidad e integridad del procesamiento de los datos que pasan a travs de redes pblicas, y para proteger los sistemas conectados
9. Estn establecidos controles especiales para salvaguardar la
10. Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas? 11. Existen controles y procedimientos de gestin para proteger el acceso a las conexiones y servicios de red.? 12. Existen protocolos de comunicaron establecida
13. Existe una topologa estandarizada en toda la organizacin 14. Existen normas que detallan que estndares que
deben cumplir el hardware y el software de tecnologa de redes?

15. La transmisin de la informacin en las redes es segura? 16. El acceso a la red tiene password?

Auditoria Informatica

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Auditoria Informatica

Încărcat de

Drepturi de autor:

Formate disponibile

AUDITORIA INFORMATICA OLVA COURIER

UNIVERSIDAD NACIONAL DE MOQUEGUA

PC UNIVERSIDAD NACIONAL DE MOQUEGUA